Sélection de la langue

Recherche

Document de consultation sur le Deuxième Protocole additionnel à la Convention de Budapest

Mémoire du Commissariat à la protection de la vie privée du Canada à l’intention du ministère de la Justice Canada

Le 22 mars 2024

Monsieur Gareth Sansom
Directeur adjoint, Technologie et analyse
Section de la politique en matière de droit pénal
Ministère de la Justice
284, rue Wellington
Ottawa (Ontario)  K1A 0H8

Objet : Document de consultation sur le Deuxième Protocole additionnel à la Convention de Budapest

Monsieur,

Nous vous remercions d’avoir fourni une copie de votre récent document de consultation ainsi que d’autres renseignements généraux. Nous tenons également à vous remercier d’avoir accepté de nous rencontrer en février pour nous présenter une description détaillée de la situation. Nous sommes reconnaissants de ces efforts et disposés à poursuivre les discussions au besoin.

Contribution passée à l’élaboration du Deuxième Protocole additionnel

Comme vous le savez, le Commissariat à la protection de la vie privée du Canada est depuis longtemps membre de l’Assemblée mondiale pour la protection de la vie privée (AMVP), un réseau mondial d’autorités de protection des données. Nous dirigeons divers groupes de travail de l’AMVP et interagissons avec plusieurs comités liés au Conseil de l’Europe, notamment le comité pour la protection des données ainsi que le comité attaché à la Convention de Budapest, qui se concentre sur la cybercriminalité. À ce titre, nous avons déjà donné notre avis sur la proposition de protocole à deux reprises, en 2019 et en 2021; des copies de ces lettres sont jointes à la présente communication à des fins de référence.

Évolution du contexte d’application de la loi et de coopération internationale

Bien que le Canada démontre un engagement de longue date envers la Convention de Budapest et l’élaboration de protocoles additionnels, les propositions les plus récentes concernent aussi d’autres initiatives gouvernementales visant à élargir les pouvoirs d’enquête, sur lesquelles le Commissariat a également été consulté. Ces initiatives sont les suivantes :

  1. les consultations antérieures du ministère de la Justice Canada sur l’accès aux données relatives aux abonnés,
  2. les négociations en cours entre le Canada et les États-Unis en vue d’élaborer un accord bilatéral sur l’accès aux données des organismes d’application de la loi à la suite de la Clarifying Lawful Overseas Use of Data (CLOUD) Act (loi américaine clarifiant l’utilisation légale des données à l’étranger) de 2016Note de bas de page 1,
  3. les consultations menées par Finances Canada sur le régime fédéral de lutte contre le recyclage des produits de la criminalité et le financement du terrorismeNote de bas de page 2, et, dans le contexte de la sécurité nationale,
  4. les récentes consultations de Sécurité publique Canada proposant de nouveaux pouvoirs de fouille et de perquisition dans le contexte de l’ingérence étrangèreNote de bas de page 3.

Ces liens constituent l’importante toile de fond des commentaires qui suivent et, plus particulièrement, renseignent sur les domaines dans lesquels le Commissariat a recensé des risques d’atteinte à la vie privée.

Ces discussions ont, à différents stades de leur avancée, incorporé des propositions ou des éléments semblables aux dispositions du Deuxième Protocole additionnel, comme vous l’avez indiqué dans votre document de consultation. Nos commentaires porteront sur les éléments suivants :

  • les demandes directes provenant des organismes d’application de la loi ou d’autres autorités compétentes;
  • les ordonnances de divulgation des données relatives aux abonnés et au trafic;
  • les garanties, la protection des données, la transparence et la surveillance;
  • les questions destinées aux commissaires à la protection de la vie privée à propos des pouvoirs et de l’interopérabilité.

Demandes directes provenant des organismes d’application de la loi

Comme indiqué dans le document, l’article 7 du Protocole permettrait aux enquêteurs des organismes d’application de la loi ou à d’autres autorités compétentes d’un pays d’obtenir des renseignements relatifs aux abonnés (selon la définition du paragraphe 18(3) de la Convention de Budapest) auprès d’un fournisseur de services d’un autre pays. Étant donné que la jurisprudence et les normes constitutionnelles — tout comme la surveillance et l’examen en vigueur — varient d’un État à l’autre, cette initiative soulève des questions d’ordre juridique et qui concerne la protection de la vie privée.

Les nombreuses propositions concernant l’accès aux données relatives aux abonnés qui ont vu le jour ces dernières années rendent manifeste que la protection de la vie privée demeure un sujet de discorde parmi les différentes initiatives citées plus haut. Cette situation persistera probablement, car les tribunaux des différents pays ont leur propre point de vue sur les niveaux appropriés de protection juridique, les attentes raisonnables en matière de protection de la vie privée et l’incidence des technologies émergentes et de l’environnement en ligneNote de bas de page 4.

Cette même question s’est posée au niveau national, dans le contexte de la comparaison des régimes fédéral et provinciaux de protection des données au Canada, lorsque des propositions visant à autoriser l’accès à la police fédérale et aux polices provinciales aux données relatives aux abonnés ont été avancées par le Groupe de travail sur la cybercriminalité du Comité de coordination des hauts fonctionnaires en 2016Note de bas de page 5. La Section de la politique en matière de droit pénal du ministère de la Justice Canada a contribué à coordonner ces discussions, et les questions de l’accès direct et des mécanismes de surveillance ont également été soulevées à cette occasion. Les commissaires à la protection de la vie privée du Canada et de ses provinces ont donné leur avis sur ces questions. Nous croyons leur avis fort pertinent pour la présente discussion et en avons donc inclus une copie à des fins de référence, considérant également que ces préoccupations sont toujours d’actualitéNote de bas de page 6.

Comme indiqué dans le document de consultation (à la page 10), la Cour suprême du Canada a examiné les seuils juridiques appropriés en ce qui concerne l’accès de la police aux données dans l’affaire R. c. Spencer. Dans cette décision, la Cour s’est prononcée à l’unanimité sur le droit des utilisateurs d’Internet à une attente raisonnable en matière de respect de la vie privée en ce qui concerne leurs données. Il ne s’agit là que d’un cas parmi des dizaines d’autres concernant la collecte par la police de données sensibles découlant de l’utilisation d’InternetNote de bas de page 7.

Plus récemment, la décision rendue par la Cour suprême du Canada en mars 2024 dans l’affaire R. c. BykovetsNote de bas de page 8 va plus loin. Dans sa décision, la Cour compare les adresses IP à un « fragment numérique » capable de révéler la « trace du parcours d’un internaute dans le cyberespace »Note de bas de page 9. La Cour a donc estimé qu’une adresse IP pourrait permettre de divulguer des renseignements personnels bien avant l’obtention d’un « mandat de type Spencer » Note de bas de page 10. La Cour a donc conclu que, même si une adresse IP ne révèle pas immédiatement l’identité d’un utilisateur, elle suscite néanmoins une attente raisonnable au respect de la vie privée Note de bas de page 11. En conséquence, la Cour a estimé que « la surveillance judiciaire en ce qui a trait à une adresse IP est le moyen de réaliser l’objectif de l’article 8 [de la Charte] d’empêcher les atteintes à la vie privée » Note de bas de page 12. Il serait donc difficile d’envisager qu’un régime autorisant l’accès aux données relatives aux abonnés sans autorisation judiciaire soit compatible avec le droit canadien.

Le Commissariat a donné son avis sur les renseignements relatifs aux abonnés devant le Parlement Note de bas de page 13, les tribunaux Note de bas de page 14 et le gouvernement Note de bas de page 15. Notre position de longue date, soutenue à la fois par l’affaire Spencer et la jurisprudence subséquenteNote de bas de page 16, est que les renseignements relatifs aux abonnés ne devraient être accessibles qu’avec une autorisation judiciaire, sauf dans des circonstances vraiment exceptionnelles. Ainsi, comme l’article 7 prévoit l’accès aux renseignements relatifs aux abonnés sans autorisation judiciaire, il créerait un régime d’accès pour les organismes d’application de la loi qui ne semble pas conforme à la jurisprudence de notre pays, bien que ce processus puisse être autorisé ailleurs.

Les décisions relatives à la ratification du Protocole en général, et de l’article 7 en particulier, devraient également tenir compte de la modernisation des lois qui pourrait avoir une incidence sur la collecte et la communication de renseignements dans le secteur public. Nous notons que le Parlement étudie actuellement le projet de loi C-26, Loi concernant la cybersécurité, qui est actuellement devant le Comité permanent de la sécurité publique et nationale de la Chambre des communes. Ce nouveau cadre juridique pourrait en fin de compte comporter à la fois des pouvoirs supplémentaires de collecte et de communication de renseignements, comme les données relatives aux abonnés, auprès des opérateurs de services de télécommunication et de cybersystèmes, en plus de nouvelles conditions, contraintes, garanties ou mesures de surveillance en ce qui concerne cette collecte et cette communication.

En résumé, bien que le ministère de la Justice Canada soit en définitive le mieux placé pour évaluer les éventuels moyens de se conformer au Protocole, nous pensons que le fait de garantir le droit de refuser la disposition relative à la demande directe décrite à l’article 7 constituerait probablement la solution la plus claire, la plus simple et la moins litigieuse du point de vue de la protection de la vie privéeNote de bas de page 17. Compte tenu des autres éléments relatifs à la communication de renseignements mis en place par le Protocole et mentionnés ci-après, nous pensons qu’il est essentiel que toute proposition soit conforme à l’obligation clairement énoncée dans la jurisprudence canadienne d’obtenir une autorisation judiciaire préalable pour recueillir des renseignements relatifs aux abonnés. 

Ordonnance de divulgation des données relatives aux abonnés et au trafic

L’article 8 du Protocole et les dispositions relatives à l’accès décrites dans le document de consultation (page 11) proposent des procédures et des mécanismes parallèles. Si ces dispositions étaient transposées en droit national, elles pourraient permettre au Canada de donner les moyens à un juge d’une cour supérieure fédérale ou provinciale d’examiner et d’approuver une ordonnance venant des organismes d’application de la loi d’une autre administration. Ces dispositions pourraient être utilisées par les organismes d’application de la loi pour accéder aux renseignements relatifs aux abonnés ou aux données relatives au trafic sur Internet.

Tant pour l’accès aux renseignements relatifs aux abonnés qu’aux données relatives au trafic sur Internet, le Commissariat est d’avis qu’un contrôle judiciaire indépendant, c’est-à-dire sans lien avec un mandat d’enquête ou de poursuite en particulier, correspond mieux aux attentes en matière de contrôle indépendant et impartial formulées par les tribunaux canadiens. Comme l’indique le document de consultation, l’autorisation judiciaire en tant que norme reconnue dans un processus d’enquête est un élément essentiel du contrôle judiciaire et doit être obtenue avant l’utilisation des pouvoirs légaux d’accès aux données (page 15).

Cela dit, l’extension de cette procédure juridique au-delà des renseignements relatifs aux abonnés pour y inclure les données relatives au trafic aurait aussi des conséquences importantes sur la protection de la vie privée. Comme nous l’avons noté précédemment, tant devant les tribunaux que dans les avis fournis au Parlement, les données transactionnelles issues de l’activité en ligne peuvent être très sensibles et révélatrices, car elles peuvent fournir des renseignements détaillés sur la situation financière, la santé physique et mentale ainsi que sur les opinions religieuses ou politiques d’une personneNote de bas de page 18.

Si le Canada choisit de ne pas se retirer au titre du paragraphe 8(13), il doit veiller à ce que des garanties complètes, appropriées et robustes soient appliquées à toute communication de données relatives au trafic, y compris, par exemple, un mécanisme de notification, une surveillance, des limitations d’utilisation et d’autres garanties procédurales, comme nous le décrivons dans la section suivante. 

Garanties, transparence et surveillance

L’article 13 du Protocole énumère une liste d’exigences supplémentaires à appliquer avant que les procédures d’enquête mentionnées ci-dessus puissent être utilisées, dont beaucoup sont fondées sur des principes de protection des données bien établis, tels que la base juridique du traitement, les motifs raisonnables de la fouille et de la perquisition, la limitation de l’étendue de la collecte, etc. L’article 14 exige que des dispositions soient mises en place pour garantir l’exactitude des données recueillies, la limitation de la durée de conservation des données, l’application de garanties de sécurité appropriées et le respect des droits d’accès.

La résolution d’octobre 2021 de l’AMVP sur les contrôles et garanties appropriés en matière de protection des données dans le contexte précis de l’accès des organismes d’application de la loi aux données dans le secteur privé présente un intérêt pour cette discussionNote de bas de page 19. Bien que cette résolution n’en était qu’à ses débuts lorsque nous avons commenté le Protocole en avril 2021, nous pensons qu’elle offre des solutions intéressantes à prendre en considération. Nous en avons joint une copie (en anglais seulement) à des fins de référence. 

La résolution propose huit conditions essentielles pour que l’accès des organismes d’application de la loi respecte les principes de protection des données et les garanties juridiques appropriées. Il s’agit notamment de la nécessité d’une autorité législative claire, d’un contrôle des critères de nécessité et de proportionnalité, de mécanismes pour garantir la transparence envers le public, de procédures de droits d’accès individuels, d’une surveillance indépendante, de limitations de l’utilisation secondaire et de dispositions efficaces en matière de recours et de réparation.

Compte tenu des éléments mis en évidence dans les articles 13 et 14, nous pensons que la mise en œuvre du Protocole par le Canada pourrait être alignée sur les exigences fondamentales mentionnées dans les lignes directrices de l’AMVP. Nous tenons à souligner que d’autres organismes, tels que l’Organisation de coopération et de développement économiques et le G7, ont par la suite publié des attentes de base similaires assorties de principes comparablesNote de bas de page 20. En outre, nous pensons que le projet de loi C‑27, actuellement examiné par le ParlementNote de bas de page 21, et plusieurs des propositions de modernisation de la Loi sur la protection des renseignements personnels formulées par le ministère de la Justice CanadaNote de bas de page 22 satisferaient à bon nombre des exigences fondamentales énoncées à l’article 14. Par exemple, la modernisation de la Loi sur la protection des renseignements personnels pour répondre à ces nouvelles obligations permettrait de clarifier la manière dont les organismes nationaux d’application de la loi traitent les renseignements personnels qu’ils reçoivent d’autres pays. Nous profitons donc de l’occasion pour inviter le gouvernement à accorder une priorité à ces initiatives.

Pouvoirs de protection des données et interopérabilité

En ce qui concerne les pouvoirs juridiques des commissaires à la protection de la vie privée au Canada, il est important de noter qu’il existe des différences d’une province à l’autre ainsi qu’entre les lois fédérale et provinciales. Par exemple, dans certaines administrations provinciales, les autorités peuvent suspendre ou annuler les transferts de données. La loi fédérale sur la protection de la vie privée n’habilite pas le Commissariat à le faire. Nous savons que vous consultez les autorités provinciales sur ces questions en particulier.

De notre point de vue, même si les normes de base en matière de protection de la vie privée sont similaires, les différences de mise en œuvre peuvent créer des difficultés de collaboration entre les administrations. Cela pourrait aussi être source de confusion, en particulier lorsque des pays étrangers souhaitent obtenir des données au Canada dans le cadre d’une enquête précise. Le manque de clarté en ce qui concerne la surveillance pourrait compliquer la mise en œuvre des dispositions du Protocole (p. ex., les exigences en matière de notification prévues à l’article 14, mentionnées à la page 17). Selon nous, la cohérence et l’interopérabilité de la protection des données sont essentielles pour garantir une collaboration efficace. Cela confirme à nouveau l’importance du travail du ministère de la Justice Canada à la modernisation de la Loi sur la protection des renseignements personnels.

Conclusion

Je vous remercie une fois de plus d’avoir consulté le Commissariat et ses homologues provinciaux dans le cadre de la poursuite des travaux sur l’approche du Canada à l’égard du Protocole. Nous sommes reconnaissants du temps que vos fonctionnaires ont pris pour expliquer l’évolution de l’initiative et nous vous remercions pour les autres renseignements généraux que vous avez fournis. Si vous souhaitez obtenir des renseignements supplémentaires sur l’un des documents susmentionnés ou si vous avez des questions complémentaires, n’hésitez pas à communiquer avec Christopher Prince, analyste principal des politiques et de la recherche, à l’adresse suivante Christopher.Prince@priv.gc.ca

Je vous prie d’agréer, Monsieur, mes salutations les meilleures.

Gregory Smolynec
Sous-commissaire, Politiques et promotion

Pièces jointes : (3)

  1. Commissariat à la protection de la vie privée du Canada, Input to EC Committee examining new protocol for COE Convention on Cybercrime (anglais seulement) [Commentaires à l’intention du comité du Conseil de l’Europe examinant le nouveau protocole pour la Convention sur la cybercriminalité du Conseil de l’Europe] (avril 2021)
  2. Commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée, Lettre de réponse conjointe à la consultation sur l’accès légal menée par le Groupe de travail sur la cybercriminalité du Comité fédéral, provincial et territorial de coordination des hauts fonctionnaires (mars 2017)
  3. Assemblée mondiale pour la protection de la vie privée, Government Access to Data, Privacy and the Rule of Law: Principles for Governmental Access to Personal Data held by the Private Sector for National Security and Public Safety Purposes (anglais seulement) (octobre 2021)
Date de modification :